As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Use certificados de CA privados assinados externamente
<a name="PcaExternalRoot"></a>

Se a raiz de confiança de sua hierarquia de CA privada precisar ser uma CA externa CA privada da AWS, você poderá criar e autoassinar sua própria CA raiz. Como alternativa, é possível obter um certificado CA privado assinado por uma CA privada externa operada por sua organização. Seja qual for sua origem, você pode usar essa CA obtida externamente para assinar um certificado de CA subordinado privado que CA privada da AWS gerencia. 

**nota**  
Os procedimentos para criar ou obter um provedor de serviços de confiança externa CA externa estão fora do escopo deste guia.

O uso de uma CA primária externa CA privada da AWS permite que você imponha restrições de nome de CA, conforme definido na seção Restrições de [nome da RFC](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) 5280. Restrições de nome fornecem uma maneira para os administradores de CA restringirem nomes de requerente em certificados.

Se você planeja assinar um certificado de CA subordinado privado com uma CA externa, existem três tarefas que devem ser concluídas antes de ter uma CA ativa no CA privada da AWS:

1. Gere uma solicitação de assinatura de certificado (CSR).

1. Envie a CSR para sua autoridade de assinatura externa e retorne com um certificado assinado e uma cadeia de certificados.

1. Instale um certificado assinado em CA privada da AWS.

Os procedimentos a seguir descrevem como concluir essas tarefas usando o Console de gerenciamento da AWS ou a AWS CLI.



**Para obter e instalar um certificado de CA externamente assinado (console)**

1. (Opcional) Se você ainda não estiver na página de detalhes da CA, abra o CA privada da AWS console em [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home). Na página **Autoridades de certificação privadas**, escolha uma CA subordinada com o status **Certificado pendente**, **Ativa**, **Desabilitada** ou **Expirada**.

1. Escolha **Ações**, **Instalar certificado de CA** para abrir a página **Instalar certificado de CA subordinada**.

1. Na página **Instalar certificado de CA subordinada**, em **Selecionar tipo de CA**, escolha **CA privada externa**.

1. Em **CSR para essa CA**, o console exibe o texto ASCII codificado em Base64 da CSR. É possível copiar o texto usando o botão **Copiar** ou escolher **Exportar CSR para um arquivo** e salvá-lo localmente.
**nota**  
O formato exato do texto CSR deve ser preservado ao copiar e colar.

1. Se você não puder executar imediatamente as etapas offline para obter um certificado assinado da sua autoridade de assinatura externa, feche a página e retorne a ela depois de possuir um certificado assinado e uma cadeia de certificados.

   Caso contrário, se estiver pronto, execute uma das seguintes ações:
   + Cole o texto ASCII codificado em Base64 do corpo do certificado e da cadeia de certificados nas respectivas caixas de texto.
   + Escolha **Upload** para carregar o corpo do certificado e a cadeia de certificados dos arquivos locais nas respectivas caixas de texto.

1. Escolha **Confirmar e instalar**.



**Para obter e instalar um certificado de CA externamente assinado (CLI)**

1. Use o [get-certificate-authority-csr](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html)comando para recuperar a solicitação de assinatura de certificado (CSR) para sua CA privada. Se você quiser enviar o CSR para o seu monitor, use a `--output text` opção de eliminar CR/LF caracteres do final de cada linha. Para enviar a CSR para um arquivo, use a opção de redirecionamento (>) seguido por um nome de arquivo. 

   ```
   $ aws acm-pca get-certificate-authority-csr \
   --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --output text
   ```

   Depois de salvar uma CSR como arquivo local, você pode inspecioná-la usando o seguinte comando [OpenSSL](https://www.openssl.org/): 

   ```
   openssl req -in path_to_CSR_file -text -noout
   ```

   Esse comando gera uma saída semelhante à seguinte. Observe que a extensão da **CA** é `TRUE`, o que indica que a CSR é para um certificado CA. 

   ```
   Certificate Request:
   Data:
   Version: 0 (0x0)
   Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
   Subject Public Key Info:
       Public Key Algorithm: rsaEncryption
           Public-Key: (2048 bit)
           Modulus:
               00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
               1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
               7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
               c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
               ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
               46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
               f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
               38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
               b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
               a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
               a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
               b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
               1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
               8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
               14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
               3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
               68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
               f6:27
           Exponent: 65537 (0x10001)
   Attributes:
   Requested Extensions:
       X509v3 Basic Constraints:
           CA:TRUE
   Signature Algorithm: sha256WithRSAEncryption
    c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
    a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
    ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
    ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
    de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
    ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
    8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
    f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
    79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
    28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
    2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
    d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
    7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
    4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
    d1:83:66:40
   ```

1. Envie a CSR à sua autoridade de assinatura externa e obtenha arquivos contendo o certificado assinado codificado em PEM Base64 e a cadeia de certificados.

1. Use o [import-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html)comando para importar o arquivo de certificado CA privado e o arquivo em cadeia para CA privada da AWS.

   ```
   $ aws acm-pca import-certificate-authority-certificate \
   --certificate-authority-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate file://C:\example_ca_cert.pem \
   --certificate-chain file://C:\example_ca_cert_chain.pem
   ```